Qno侠诺五招 轻轻松松提高VPN稳定性

Qno侠诺五招 轻轻松松提高VPN稳定性

VPN对于企业信息化的建设，已经是不可缺少的一环了。随着进销存、财务、ERP、CRM等软件的的普及，很多中小企业为了达到进一步针对远程存取的目的，开始进行VPN环境的建置。有了VPN，中小企业的分支机构及移动用户，可以通过互联网接入企业局域网的服务器，既可以达到实时办公的效果，又不必担心因此而在信息安全上有漏洞或折扣，方便实用！

根据Qno侠诺的多年服务经验，曾接触了很多中小企业的用户。中小企业用户的网管，由于人力有限，对于基本的VPN原理及配置的了解，通常较少，也没有时间一一检阅产品的使用手册。所以，经常在初始建置VPN时，只要求能达到接通、联网的目的即可，但随着使用经验的积累，却不知如何进行VPN配置的优化，进而达到较佳的远程接入效果。

下面，我们就针对中小企业用户进行VPN配置时，将可进行优化的配置加以说明，网管如能注意这些配置，相信VPN的稳定度可有效地提高。

一、要选择适当的VPN协议

大多数中小企业的网管，通常喜欢使用设定简单的PPTP，而不喜欢设定较为繁复的IPSec。因此，有时会看到同一个局域网多个用户同时使用PPTP协议，连回总部的VPN网关。由于PPTP协议需要的运算量较大，再加上一般VPN网关支持的PPTP用户有限，因此如果人数较多，就容易发生由于新的用户加入，原有用户掉线的情况；或者是因为用户人数较多而互相干扰的情况。没有经验的网管，直观认为是VPN有问题，但是却疏忽了是因为采用错误的VPN协议所致。

简单地说，PPTP适用远程用户较少，移动用户的安全性要求较低，而IPSec适用远程的群组用户或安全度要求较高情况。因此若是分公司需要连接公司总部服务器人数较多时，就适用IPSec。由于IPSec只要建立一条VPN隧道，就可提供多个用户使用，因此不管在运算能力使用或是稳定性方面，都比同时建立多条PPTP要好得多。相同的推断，也适用在SSL上，SSL协议较PPTP安全，配置也方便，但是在同一群用户同时需要连接公司总部服务器时，多条SSL所占的系统资源及稳定性都会比IPSec还差。

对于害怕IPSec配置困难的用户，Qno侠诺产品提供了专有的SmartLink协议，配有象PPTP一般简化的配置，既能建立起IPSec联机，又能节省系统资源，同时兼顾两种协议的优点。

二、持续VPN需要可善用Keep-alive功能

一般的VPN联机，具备有侦测的功能，当一段时间没有在VPN隧道传送网络包时，就会自动切断VPN联机。这个做法，既节省系统资源，也可防止没有必要的网络广播包通过VPN联机，影响到不同局域网的运作。例如微软的网络芳邻，在开启NetBIOS Broadcast的情况下，就会不同发出广播包，以便更新计算机的名称及位置。当内部碰到广播风暴攻击时，也会经过VPN隧道互相影响。

当VPN隧道切断时，随时可由存取远方服务器的封包而启动，例如用户向总部提出联机需要时，路由器可自动侦测而建立联机。建立联机的时间是很短的，用户只会感到稍有延滞，并不会有明显感觉。但是在有些应用情况下，例如辨认双方IP或是要有更高稳定性时，可启动“Keep-Alive”的选项，即可持续保持VPN的联机，不会因为没有用到而掉线。用户再需要相关功能时，立即就可进行存取，不会有任何不同。